Fortinet最近对其FortiGate防火墙设备发出了严重警告，提示有关零日漏洞的利用正在导致冒名顶替行政访问和严重的网络配置修改。这些攻击者利用了防火墙管理接口的公开暴露，变更设备设置，让多个组织面临安全风险。

网络安全公司Arctic Wolf在其最近的分析中披露，这场针对FortiGate防火墙的攻击运动自2024年11月中旬开始，攻击者通过未经授权的管理接口登录，创建新的用户账户，并通过这些账户进行SSL VPN身份认证，最终实现更为复杂的配置变更。该分析指出，攻击者的最终目标仍然不明，他们在被逐出受害环境之前，便执行了多项恶意活动，包括使用DCSync技术获取凭证。

该运动的具体攻击阶段分为四个：

• 第一阶段：漏洞扫描（2024年11月16日至11月23日）
• 第二阶段：侦察（2024年11月22日至11月27日）
• 第三阶段：SSL VPN配置（2024年12月4日至12月7日）
• 第四阶段：横向移动（2024年12月16日至12月27日）。

Arctic Wolf指出，攻击者在这些活动中还广泛使用了jsconsole接口，并使用了来自多个可疑IP地址的通信。它们的行为与合法的防火墙活动截然不同，表明有多个个体或团体可能参与了此活动。这种攻击的特点是它利用了在公共互联网上公開暴露的接口，尤其是在FortiOS 7.0和7.0.16（分别在2024年2月和10月发布）之间的固件版本上。战役初期，攻击者首先进行了漏洞扫描和侦察，随后过渡到配置更改和横向移动阶段，显示出攻击者在各个阶段执行的精准策略。

此前，Fortinet确认了一种新的身份验证旁路漏洞（CVE-2024-55591），该漏洞的CVSS评分为9.6，可能被远程攻击者利用，以通过针对Node.js websocket模块的构造请求获取超级管理员权限。此漏洞对多种版本的FortiOS和FortiProxy产品造成了影响，Fortinet建议用户升级到最新版本，以修补这一漏洞。

CISA（美国网络安全和基础设施安全局）已经将此漏洞加入其已知被利用漏洞（KEV）目录，要求联邦机构在2025年1月21日之前应用相应的修复措施。这一漏洞的活跃利用促使Fortinet采取行动，联合多个机构针对受影响的产品进行修复，并向客户提供应对指导。

公司被这种攻击波及的情况不“特定于某个行业或组织大小”，这表明攻击是机会主义性质的，而不是有计划的目标。这也意味着任何未能采取必要预防措施的组织都有可能成为下一个受害者。

因此，为了减轻风险，Fortinet建议组织不要将防火墙管理接口暴露在互联网上，并限制对这些接口的访问，仅允许信任的用户进行访问。此外，组织应实施定期的固件更新，以确保其设备免受已知的安全问题影响。这种情况下，若有上述漏洞的武器化应用，必然对企业网络的安全构成重大挑战。

随着2025年的展开，各大安全厂商和机构都面临着持续的挑战，需要建立更为稳固的网络安全防护机制。此事件提醒所有组织，尤其是使用防火墙设备的企业，必须主动监控和保护其防火墙管理接口，并定期审查网络安全措施，以应对不断演变的网络威胁。